Вопрос или проблема
У меня есть несколько телефонов и ПК, которые делают что-то свое. Они подключены через какую-то фантомную (сеть/ Bluetooth?) связь, и я не уверен, как, откуда это происходит и как это остановить.
Я буду ссылаться на проблемы, которые произошли с ноутбуком на Windows 11, который я никогда не подключал ни к Wi-Fi, ни к Bluetooth. Он лежал у меня две недели, я боялся его подключить, чтобы он не стал таким же, как мои другие устройства. Первое, что я сделал, когда получил его, – это отключил Bluetooth и Wi-Fi. Каждый раз, когда я его включал, Wi-Fi у меня не был подключен, и все мои устройства были выключены, на всякий случай.
Когда я его включил, я увидел синий экран блокировки, который появляется, когда у вас подключен телефон и т.д. Когда я проверял правила брандмауэра, я заметил, что на экране состояния брандмауэра было написано, что он подключен через частную сеть. Ничего в netstat. Я уже удалил Phone Link и подключенные устройства. Каждый раз, когда я пытаюсь выйти из этой учетной записи, когда на экране синий фон, он говорит мне, что другие люди все еще в системе, и спрашивает, уверен ли я, что хочу выйти. Я использую контроль брандмауэра Malbytesware и видел в просмотрщике событий, что одна учетная запись восстанавливала удаленные/заблокированные правила. Те, которые я даже не вижу в списке.
Наконец, я подключил устройство напрямую к своему модему в первый раз сегодня вечером, и прошло около 30 секунд, как я получил сообщение, что Windows Defender поймал угрозу: Win32/WDBlockFirewallRule.P в c:\windows\system32\svchost.exe.
Я поймал эту угрозу только один раз до этого. Но это была та же угроза на одном из моих других устройств. Не могу даже сосчитать, сколько раз я переформатировал/сбрасывал/заменял все это, пытаясь вернуть мои устройства в норму, и это было всего один раз. Странно.
Затронутые ПК запускают 10+ копий svchost на какой-то фантомной учетной записи, используя много данных, где мой IP, похоже, помечается. Все мои устройства – телефоны, камеры безопасности, телевизоры тоже затронуты, но я не уверен, связаны ли эти инциденты (они как-то удаленно управляются). Я ломаю голову об этом уже больше года. Единственное, что у них ВСЕХ общее – это Bluetooth.
Любая помощь или понимание или место, с которого можно начать, будут очень ценны!
Ответ или решение
Призраки в ваших устройствах: Вредоносное ПО или удаленный доступ?
Ваша ситуация вызывает серьезные опасения относительно потенциального вредоносного ПО или несанкционированного удаленного доступа к вашим устройствам. Рассмотрим возможные причины ваших проблем и методы их устранения.
Феномен «призрачной» сети
Во-первых, важно отметить, что под термином «призраки» в устройствах может подразумеваться наличие скрытых соединений, как проводных, так и беспроводных. Учитывая ваши описания, следует обратить внимание на несколько ключевых моментов:
-
Скрытые подключения: Убедитесь, что на всех устройствах отключены не только Wi-Fi и Bluetooth, но и любые другие методы подключения к сети. Также необходимо проверить наличие активных протоколов, например, Wi-Fi Direct.
-
Странное поведение операционной системы: Повторяющиеся предупреждения о входах в систему или проблемах с правилами брандмауэра могут указывать на наличие вредоносного ПО.
-
Необычная активность светофора (svchost.exe): Этот процесс является основным для многих функций Windows, однако наличие множества экземпляров (10+) может свидетельствовать о том, что какие-то из них могут быть скомпрометированы. Необходимо проверить их целостность и источники запуска.
Потенциальные угрозы
На основе предоставленных вами данных, следующие угрозы могут играть ключевую роль:
-
Троянские программы и вредоносное ПО: Учитывая имя угрозы Behavior:Win32/WDBlockFirewallRule.P, существует вероятность, что ваше устройство активно использует соответствующее вредоносное ПО, чтобы манипулировать брандмауэром и правилами безопасности. Это может быть вариант удаленного доступа через RAT (Remote Access Trojan). RAT позволяет злоумышленнику находить уязвимости и получать несанкционированный доступ.
-
Общие уязвимости в устройствах: Если все ваши устройства взаимодействуют по Bluetooth, враг может использовать этот протокол для осуществления атак. Это означает, что ваше хранилище данных, включая телефоны и умные устройства, могут быть под угрозой.
Рекомендации по устранению проблем
Ваша задача заключается в том, чтобы минимизировать риск и восстановить контроль над вашими устройствами. Вот несколько шагов, которые стоит предпринять:
-
Проверка и отключение Bluetooth и Wi-Fi: Полностью отключите Bluetooth на всех устройствах, особенно среди тех, которые вы не используете активно.
-
Антивирусная и антималварная проверка: Используйте несколько известных антивирусных решений для сканирования всех ваших устройств. Не ограничивайтесь одной программой, так как разные сети могут блокировать разные угрозы.
-
Мониторинг сетевой активности: Используйте инструменты мониторинга сети для отслеживания любых подозрительных подключений и активности. Это может быть как встроенный в Windows Monitor, так и сторонние приложения.
-
Изменение учетных данных и двухфакторная аутентификация: Убедитесь, что все ваши учетные записи имеют уникальные и сложные пароли, а желательно — включите двухфакторную аутентификацию.
-
Обновление прошивок и программного обеспечения: Регулярно обновляйте все устройства и программное обеспечение. Это поможет устранить возможные уязвимости, которые могли быть использованы злоумышленниками.
-
Обращение к профессионалам: Если проблема не решается, обратитесь к специалистам по кибербезопасности. Они могут помочь провести углубленный анализ и предложить решения.
Заключение
Ситуация, которую вы описали, требует комплексного подхода к диагностике и устранению угроз. Важно отказаться от немедленных подключений к интернету до тех пор, пока вы не убедитесь в безопасности ваших устройств. С уверенным подходом и вниманием к деталям, вы сможете восстановить контроль и защитить свои данные.